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Communication securisee dans un equipement d'automatisme 



(57) La presente invention concerne un equipement d'automatisme (1 0) apte a echanger des informations sur un 
reseau de communication (50) local ou global supportant le protocole TCP/IP, ces echanges etant securises par I'uti- 
hsation de mecanismes a cles asymetriques (cle publique, cle privee), comme RSA ou SSL. L'equipement d'automa- 
tisme (1 0) comporte des premiers moyens de stockage (1 1 ) pour memoriser ses propres cles publique (1 7) et privee 
(16), amsi que la cle publique (47) d'un administrates (40). L'equipement d'automatisme (10) comporte aussi des 
seconds moyens de stockage (12) pour memoriser un annuaire contenant les cles publiques (27,37) d'appareils dis- 
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Description 



[0001] La presente invention concerne un 6quipe- 
ment d'automatisme susceptible d'utiliser un systeme 
de communication securisee pour echanger des infor- 
mations avec un appareil distant sur un reseau local ou 
global, grace k I'emploi de cles asymetriques. Cette in- 
vention peut s'appliquer dans tout systeme d'automatis- 
me, particulierement dans le domaine des automatis- 
mes industriels manufacturiers, continus ou batch, dans 
le domaine des automatismes du bStiment ou dans le 
controle/commande des r6seaux electriques de distri- 
bution. 

[0002] Sous le terme "equipement d'automatisme", 
on designera ci-apres un automate programmable, une 
commande numerique, une station de controle/com- 
mande, mais aussi tout equipement ou module d'auto- 
matisme possedant sa propre unite de traitement et ca- 
pable de se connecter sur un reseau de communication 
local ou global, comme par exemple un module deporte 
d'entrees/sorties, un dispositif de regulation, un terminal 
de dialogue homme-machine, un variateur de vitesse. 
Un tel equipement d'automatisme est capable d'echan- 
ger, surle reseau local ou global, des informations dans 
le but d'effectuer des fonctions de surveillance, de vi- 
sualisation et de controle relatives a un systeme d'auto- 
matisme. 

[0003] Le terme "appareil distant" regroupe quant a 
lui soit un autre equipement d'automatisme tel que defini 
ci-dessus, soit un ordinateur individuel, un telephone 
portable, un appareil de type PDA (Personal Digital As- 
sistant), soit un serveur informatique, tel qu'un serveur 
d'applications ASP (Applications Service Provider), un 
serveur ERP (Enterprise Resource Planning) ou tout 
autre systeme informatique. Ces appareils distants sont 
capables de communiquer sur le reseau local ou global 
dans le but d'effectuer des fonctions de surveillance, de 
visualisation et de controle relatives k un systeme 
d'automatisme. Enfin, dans la suite de I'expose, tout 
equipement ou appareil capable d'emettre et de rece- 
voir sur un reseau de communication sera egalement 
appete un "noeud" de communication. 
[0004] Dans un systeme d'automatisme, les program- 
mes de certains equipements d'automatisme ou les per- 
sonnes qui supervised et controlent tout ou partie du 
systeme d'automatisme a partir de terminaux de dialo- 
gue s'appuient de plus en plus sur des informations pro- 
venant d'appareils distants pour effectuer une action ou 
prendre une decision. Ces informations relatives au sys- 
teme d'automatisme contiennent notamment des don- so 
nees, des alarmes, des consign es/mesu res, des com- 
mandes, des codes programmes, des sequences audio 
ou vid6o, etc... Elles peuvent etre vShiculees sur un re- 
seau de communication local ou global, par exemple un 
reseau du type Internet, Intranet ou Extranet supportant ss 
les protocoles IP ou TCP/IP. 

[0005] II devient done necessaire, pour un equipe 
ment d'automatisme connecte a un tel reseau de com 



munication, de pouvoir d'une part authentifier de facon 
certaine la provenance des messages qu'il recoit et 
d'autre part s'assurer de la confidentiality des messages 
qu'il envoie. Les m&hodes actuelles utilisees dans le 
5 domaine des automatismes, par exemple k base de 
mots de passe ou d'authentification des personnes, 
s'averent souvent insuffisantes, surtout avec I'avene- 
ment des architectures d'automatisme reparties et des 
reseaux WAN (Wide Area Network). Par contre, les me- 
10 canismes a cles asymetriques avec des algorithmes tels 
que RSA ou SSL, associes k des mecanismes de chif- 
frement tels que DES, triple DES ou IDEA par exemple, 
sont utilises dans le monde informatique et permettent 
d'assurer une protection sure et robuste. 
is [0006] C'est pourquoi la presente invention a pour but 
d'integrer dans un equipement d'automatisme apparte- 
nant au monde des automatismes industriels, des auto- 
matismes du batiment ou au controle/commande des 
reseaux electriques de distribution, un mecanisme de 
20 chiffrement a cles asymetriques. 

[0007] Pour cela, invention decrit un equipement 
d'automatisme comprenant une unite de traitement et 
des moyens de communication lui permettant d'echan- 
ger des informations relatives a un systeme d'automa- 
25 tisme avec au moins un appareil distant sur un reseau 
de communication local ou global. L'equipement d'auto- 
matisme se caracterise par le fait que les echanges d'in- 
formations sont securises par I'utilisation de cles asy- 
metriques delivrees par un admin istrateur et compre- 
30 nant une cle publique et une cl§ privee pour chaque 
equipement d'automatisme. L'unite de traitement de 
l'equipement d'automatisme est apte a executer des al- 
gorithmes de chiffrement des informations a emettre et 
de dechiffrement des messages regus. L'equipement 
55 d'automatisme comprend des premiers moyens de 
stockage pour memoriser sa cle publique et sa cle pri- 
vee,ainsi que lacle publique de I'administrateur, et com- 
prend des seconds moyens de stockage destines a me- 
moriser un annuaire contenant la cle publique d'au 
4 o moins un appareil distant expediteur. 

[0008] D'autres caracteristiques et avantages vont 
apparaitre dans la description detaillee qui suit en se 
r6f6rant k un mode de realisation donn6 k titre d'exem- 
pie et represents par les dessins annexes sur lesquels : 

la figure 1 represente une architecture de commu- 
nication comprenant un Equipement d'automatisme 
conforme a I'invention, 



la figure 2 detaille un equipement d'automatisme 
connecte k un r6seau de communication local ou 
global et k un bus de communication local, 

- la figure 3 schematise des echanges d'informations 
sur le reseau de communication. 

[0009] En reference a la figure 1, un equipement 
d'automatisme 10 comprend une unite de traitement 19 
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raccordee & des moyens de communication 15 permet- 
tant k I'equipement d'automatisme 10 d'echanger des 
informations sur un reseau de communication 50 local 
ou global, tel qu'un reseau du type Internet, Intranet ou 
Extranet supportant les protocoles IP ou TCP/IP. Ces 
informations contiennent par exemple des donnees, 
des alarmes, des cons ignes/mesu res, des commandes,' 
des codes programmes, des sequences audio ou video, 
relatives & un systeme d'automatisme. Elles peuvent 
etre 6changees par un mecanisme de requete/reponse / 
entre un client et un serveur. L'equipement d'automatis- 
me 10 peut 6changer sur le reseau 50 avec plusieurs 
appareils distants 20,30. Ces appareils 20,30 compren- 
nent eux aussi une unite de traitement 29,39 raccordee 
a des moyens de communication 25,35 leur permettant a 
d'echanger des informations sur le reseau 50. Les trans- 
missions sur le reseau 50 local ou global peuvent se 
faire de facon equivalente avec des technologies filaires 
ou des technologies sans fil. Dans i'exemple prdsente 
en figure 1 , I'appareil distant 20 est egalement un equi- a 
pement d'automatisme. 

[0010] De maniere connue, dans un systeme de com- 
munication securisee utilisant un principe de cles asy- 
metriques, chaque noeud de communication 
10,20,30,40 susceptible d'echanger des informations 25 
sur un reseau de communication 50, comporte une cie 
privee 16,26,36,46 et une cle publique 17,27,37,47. La 
cle pubiique 1 7 d'un noeud 1 0 peut etre connue par tous 
les autres noeuds connectes au reseau 50. La cle privee 
16 d'un noeud 10 est exclusivement connue par ce 30 
noeud 10. Les algorithmes de chiffrement et de dechif- 
frement, comme RSA ou autres, imposent que tout mes- 
sage code avec une cle publique ne peut uniquement 
etre decode qu'avec la cle privee correspondante. Sy- 
metriquement, tout message code avec une cle privee 35 
ne peut uniquement etre decode qu'avec la cle publique 
correspondante. Ainsi, dans le systeme de communica- 
tion securisee utilisant un principe de cles asymetri- 
ques, tout echange d'informations entre deux noeuds 
necessite d'utiliser, lors du chiffrement et du dechiffre- 40 
ment, I'ensemble cle privee et cle publique d'un meme 
noeud. 

[0011] Le systeme de communication securis6e com- 
porte un administrateur 40 connects au reseau de com- 
munication 50 et qui joue le role d'autorite de certifica- 45 
tion des cles des autres noeuds. Dans un systeme 
d'automatisme, I'administrateur 40 peut indifferemment 
se situer au niveau d'un atelier autonome, d'un centre 
de production, d'une societe ou peut etre une autorite 
de certification centrale. L'administrateur 40 peut par so 
ailleurs etre situe dans un des appareils distants aptes 
k communiquer avec un equipement d'automatisme 1 0. 
[0012] Si un noeud destinataire 20 veut authentifier 
de facon certaine qu'un message qu'il a recu par le re- 
seau de communication 50 provient bien d'un noeud ex- 55 
pediteur 10 bien identifie, celui-ci doit signer son mes- 
sage. Pour cela, I'unite de traitement 19 du noeud 10 
execute un algorithme de chiffrement de facon & coder 



une information a emettre en utilisant la cle privee 16 
que seul le noeud 1 0 connait. A reception du message, 
I'unite de traitement 29 du noeud destinataire 20 devra 
executer un algorithme de dechiffrement qui neseraca- 

> pable de decoder les informations recues qu'en utilisant 
exclusivement la cle publique 17 du noeud 10. Ainsi, si 
reformation est correctement decoded, le noeud 20 
peut etre sur que le message recu provient bien du 
noeud 10. 

o [0013] De meme, lorsqu'un noeud expediteur 1 0 sou- 
haite envoyer un message sur le reseau de communi- 
cation 50 a un noeud destinataire 20 en Gtant certain de 
la confidentiality de ce message, I'unite de traitement 
19 du noeud 10 doit executer un algorithme de chiffre- 

> ment de facon a coder une information a emettre en uti- 
lisant la cle publique 27 du noeud destinataire 20. A re- 
ception du message, I'unite de traitement 29 du noeud 
destinataire 20 devra executer un algorithme de dechif- 
frement qui ne pourra decoder I'information recue qu'en 

> utilisant exclusivement sa cie privee 26, que seul le 
noeud 20 connaTt. Ainsi le noeud 1 0 peut etre sur que 
le message qu'il a emis sera lu uniquement par le noeud 
20. 

[0014] Selon I'invention, pour mettre en place le sys- 
teme de communication securisee, I'equipement d'auto- 
matisme 1 0 comporte des premiers moyens de stocka- 
ge 11 dans lesquels sont memorises la cle publique 1 7 
et la cie privee 16 de I'equipement d'automatisme 10, 
ainsi que la cie publique 47 de I'administrateur 40. Ces 
premiers moyens de stockage 11 sont relies a I'unite 
centrale 1 9 et peuvent etre indifferemment integres soit 
dans une memoire volatile ou non de I'equipement 
d'automatisme 1 0, soit dans un fichier disque, soit dans 
un systeme amovible tel qu'une carte a puce ou une car- 
te au format PCMCIA inserables dans I'equipement 
d'automatisme 10. 

[0015] Lorsque I'equipement d'automatisme 10 veut 
chiffrerun message 55 (voir figure 3) a emettre de facon 
See que le destinataire soit sur desa provenance, I'unite 
de traitement 19 doit coder ce message 55 en utilisant 
sa cle privee 16 memorisee dans les premiers moyens 
de stockage 11. Dememe, lorsque I'equipement d'auto- 
matisme 10 veut lire un message 56 confidentiel qui lui 
est destine et qui a done ete code avec sa cie publique 
1 7, I'unite de traitement 1 9 doit decoder ce message 56 
en utilisant la cle privee 16 memorisee dans les pre- 
miers moyens de stockage 11. 
[0016] L'equipement d'automatisme 10 comporte 
egalement des seconds moyens de stockage 12 dans 
lesquels est memorise un annuaire contenant la cle pu- 
blique 27,37 d'au moins un appareil distant 20,30 sus- 
ceptible de communiquer avec I'equipement d'automa- 
tisme 10. L'annuaire comprend par exemple la cle pu- 
blique des appareils distants vers lesquels I'equipement 
d'automatisme 1 0 est autorise a envoyer des messages 
55 et/ou pour lesquels I'equipement d'automatisme 10 
est autorise £ recevoir des messages 56. Les premiers 
et les seconds moyens de stockage 11,12 de J'equipe- 
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ment d'automatisme 1 0 peuvent indifferemment etre in- 
tegres dans des supports identiques ou differents. 
[0017] Lorsque l'equipement d'automatisme 10 veut 
authentifier la provenance d'un message recu 56, I'unite 
de traitement 1 9 doit decoder ce message en utilisant 
une cle publique 27,37 de I'annuaire memorise dans les 
seconds moyens de stockage 12. L'appareil distant 
20,30 emetteur du message recu 56 sera ceiui dont la 
cle publique 27,37 aura permis de decoder correcte- 
ment le message recu. De meme, lorsque l'equipement 
d'automatisme 10 veut envoyer un message confiden- 
tiel 55 uniquementvers un appareil distant 20, i'unite de 
traitement 1 9 doit coder ce message confidentiel 55 en 
utilisant la cle publique 27 de cet appareil distant 20. 
[0018] Le systeme de communication securisee de- 
crit est sous I'autorite de I'administrateur 40 dont le role 
consiste notamment a mettre a jour les annuaires des 
differents noeuds 10,20,30 du reseau de communica- 
tion 50 en validant I'authenticite des cles publiques. 
L'administrateur40 comporte une cle privee 46, non re- 
presentee sur les figures, qu'il est le seul a connaitre 
correspondant avec une cle publique 47 connue des dif- 
ferents noeuds du reseau 50. 

[0019] Pour garantir I'authenticite, diffuser et mettre a 
jour les cles publiques 17,27,37 des differents noeuds 
10,20,30, I'administrateur 40 est capable d'emettre un 
message de validation 59, contenant une information 
permettant de valider une ou plusieurs cles publiques. 
Ce message de validation 59 est code avec la propre 
cle privee 46 de I'administrateur 40. Un equipement 
d'automatisme 10recevantuntel message de validation 
59 peut le decoder en utilisant la cle publique 47 de I'ad- 
ministrateur 40 memorisee dans les premiers moyens 
de stockage 11 , ce qui lui permet d'authentifier de facon 
sure que I'expediteur du message de validation 59 est 
bien I'administrateur 40 et done que I'information per- 
mettant de valider une ou plusieurs les cles publiques 
est sure. L'equipement d'automatisme 1 0 peut alors ge- 
rer et mettre a jour son annuaire memorise dans les se- 
conds moyens de stockage 12. 

[0020] Lorsqu'un equipement d'automatisme 10 se 
connecte a un reseau de communication 50, il doit in- 
former de sa presence les autres noeuds presents sur 
le reseau 50. Pourcela, I'unite de traitement 1 9 de I'equi- 
pement d'automatisme 10 emet a destination de I'admi- 
nistrateur 40 une demande de declaration 57 contenant 
la cle publique 17 de l'equipement d'automatisme 10. 
Cette demande de declaration 57 estcodee en utilisant 
la cle publique 47 de I'administrateur 40. Celui-ci deco- 
de la demande de declaration 57 avec sa propre cle pri- 
vee 46, verifie la validite de la cle publique 17 recue et 
peut alors emettre un message de validation 59 conte- 
nant une information permettant de valider cette cle pu- 
blique 1 7 pour que les appareils distants 20,30 puissent 
mettre a jour leur annuaire. 

[0021] De meme, un equipement d'automatisme 10 
peut a tout moment demander a I'administrateur 40 une 
validation d'une ou plusieurs cles publiques 27,37 d'ap- 



pareils distants 20,30. Pourcela, il emet une demande 
de validation 58 codee avec sa propre cle privee 1 6, ce 
qui permet a I'administrateur 40 d'identifier de facon su- 
re I'expediteur de cette demande 58. Apres decodage 
s au moyen de la cle publique 1 7 et analyse de la deman- 
de de validation 58, I'administrateur 40 pourra renvoyer 
un message de validation 59 contenant une information 
permettant de valider la(les) cle(s) publique(s) 27,37. 
[0022] Selon un mode de realisation prefere, les de- 
10 mandes de declaration 57 et les demandes de validation 
58 peuvent etre envoyees par I'unite de traitement 19 
automatiquement lors de la connexion de l'equipement 
d'automatisme 1 0 au reseau de communication 50, ain- 
si qu'a I'initiative d'un programme execute par I'unite de 
' 5 traitement 19 (par exemple a la suite d'une mise sous 
tension ou d'une reinitialisation). 
[0023] Le systeme de communication securisee a 
cles asymetriques decrit dans la presente invention est 
utilisable pour I'ensemble des communications entre un 
20 equipement d'automatisme et un appareil distant, mais 
il peut aussi n'etre utilise que pour ouvrir une session 
entre un equipement d'automatisme et un appareil dis- 
tant. Dans ce dernier cas, I'utilisation du mecanisme a 
cles asymetriques permet d'ouvrir de facon sure une 
25 session de communication entre deux noeuds leur per- 
mettant alors de s'echanger une cle commune symetri- 
que. Cette cle commune symetrique plus simple sera 
ensuite utilisee par les deux noeuds pour leurs echan- 
ges reciproques a I'interieur de cette meme session (par 
30 exemple a I'aide d'un mecanisme de chiffrement DES). 
Ainsi, une fois la session ouverte de facon sure, les 
echanges entre deux noeuds pourront se faire d'une 
maniere plus rapide et moins lourde. 
[0024] La figure 2 detaille un equipement d'automa- 
35 tisme 1 0 d'une part connecte au reseau de communica- 
tion 50 par les moyens de communication 15 et d'autre 
part connecte a un bus de communication local 51 grace 
a une interface 14. Sur ce bus de communication 51 , 
qui peut etre par exemple un bus de terrain ou un bus 
^0 de fond de panier de I'equipement d'automatisme 10, 
des modules 60,61 sont susceptibles de communiquer 
avec I'equipement d'automatisme 1 0 selon un protocole 
donne ne comportant pas de systeme de securite par- 
ticulier. Si un module 60,61 desire communiquer avec 
45 un appareil distant 20,30 a travers le reseau de commu- 
nication 50, l'equipement d'automatisme 10 doit alors 
servir de passerelle. Pourcela, quand llnterface 14 re- 
coit un message emis par un module 60,61 , elle le trans- 
met a I'unite de traitement 1 9 qui code ce message sui- 
50 vant le systeme de communication securisee prece- 
demment decrit, avant de I'envoyer sur le reseau 50 via 
les moyens de communication 15. De meme, quand 
I'unite de traitement 19 decode un message securise 
venant du reseau de communication 50 et a destination 
55 d'un module 60,61 , elle sera en mesure de le transmet- 
tre sur le bus 51 via I'interface 14. On obtient ainsi une 
communication permettant a des appareils distants 
20,30 d'echanger des informations de facon securisee 
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avec des modules 60,61 connectes a un equipement 
d'automatisme 10. 

[0025] II est bien entendu que Ton peut, sans sortir du 
cadre de I'invention, imaginer d'autres variantes et per- 
fection nements de detail et de meme envisager I'emploi 
de moyens equivalents. 



Revendications 



1. 



Equipement d'automatisme (10) comprenant une 
unite de traitement (19) et des moyens de commu- 
nication (15) luipermettantd'echangerdes informa- 
tions relatives a un systeme d'automatisme avec au 
moins un appareil distant (20,30) sur un reseau de 
communication local ou global (50), caracterise 
par le fait que : 

■ les echanges d'informations sont securises par 
I'utilisation de cles asymetriques, delivrees par 
un administrateur (40) et comprenant une cie 
publique (1 7,27) et une cle privee (1 6,26) pour 
chaque equipement d'automatisme (10,20) 
communicant sur le reseau de communication 
(50), 

- I'equipement d'automatisme (10) comprend 
des premiers moyens de stockage (11) pour 
memoriser sa cle publique (1 7) et sa cle privee 
(1 6), ainsi que la cle publique (47) de I'adminis- 
trateur(40), 

- I'unite de traitement (19) de I'equipement 
d'automatisme (10) est apte a executer un al- 
gorithme de chiffrement pour les informations 
emises par I'equipement d'automatisme (10), 

- I'unite de traitement (19) de I'equipement 
d'automatisme (10) est apte a executer un al- 
gorithme de dechiffrement pour les messages 
recus par I'equipement d'automatisme (10). 

Equipement d'automatisme selon la revendication 
1 , caracterise par le fait qu'il comprend des se- 
conds moyens de stockage (12) destines a memo- 
riser un annuaire contenant la cl6 publique (27,37) 
d'au moins un appareil distant (20,30) susceptible 
de communiquer avec I'equipement d'automatisme 
(10). 
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3, caracterise par ie fait que I'unite de traitement 
(19) de I'equipement d'automatisme (10) est capa- 
ble de generer une demande de declaration (57) 
contenant la cle publique (17) de I'equipement 
d'automatisme (10), cette demande de declaration 
(57) pouvant etre emise lors du raccordement de 
I'equipement d'automatisme (10) sur le reseau de 
communication (50) ou a I'initiatived'un programme 
execute par I'unite de traitement (1 9). 

Equipement d'automatisme selon la revendication 
3, caracterise par le fait que I'unite de traitement 
(19) de I'equipement d'automatisme (10) est capa- 
ble de generer une demande de validation (58) de 
la cle publique (27,37) d'au moins un appareil dis- 
tant (20,30), cette demande de validation (58) pou- 
vant etre emise lors du raccordement de I'equipe- 
ment d'automatisme (1 0) sur le reseau de commu- 
nication (50) ou a I'initiative d'un programme exe- 
cute par I'unite de traitement (1 9). 

Equipement d'automatisme selon la revendication 
1 , caracterise par le fait que les premiers moyens 
de stockage (1 1 ) sont integres dans une carte a pu- 
ce insurable dans I'equipement d'automatisme (1 0). 

Equipement d'automatisme selon la revendication 
1 , caracterise par le fait que les premiers moyens 
de stockage (11) sont integres dans une carte au 
format PCMCIA insurable dans I'equipement 
d'automatisme (10). 

Equipement d'automatisme selon I'une des reven- 
dications precedentes, caracterise par le fait que 
le reseau de communication (50) supporte les pro- 
tocols IP ou TCP/IP. 



3. Equipement d'automatisme selon la revendication 
2, caracterise par le fait que I'unite de traitement 

(1 9) de I'equipement d'automatisme (1 0) gere Tan- so 
nuaire contenu dans les seconds moyens de stoc- 
kage (12), en fonction de messages de validation 
(59) recus et authentifies en utilisant la cle publique 
(47) de I'administrateur (40) memorisee dans les 
premiers moyens de stockage (1 1 ) de I'equipement 55 
d'automatisme (10). 

4. Equipement d'automatisme selon la revendication 
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